2022云服務信息安全管理體系認證(ISO27017認證依據和受理條件)
什么是云服務信息安全管理體系(ISO27017)?
ISO/IEC 27017標準不僅提供了基于ISO/IEC 27002標準中多個控制措施的針對云服務的特殊要求,還介紹了7個全新的云服務控制措施。
通過ISO27017的認證,可以有效地保護數據,降低數據泄露以及違反法律法規帶來的風險和負面影響,增強客戶對企業的信任。
ISO27017認證模式與客戶類型
? ISO/IEC 27017初次認證的三種認證模式:
?認證模式A: 已取得CQM的ISMS證書或者取得其他認證機構并經CNAS認可的或經IAF MLA簽約機構認可的ISMS證書并有效(提供認證證書和在認監委網站查詢證書有效),本次只申請ISO/IEC 27017初次認證,但并不同時接受CQM的ISMS認證審核;
?認證模式B:已取得CQM的ISMS證書并有效,或在CQM同時申請ISO/IEC 27017與ISMS認證,并同時接受ISO/IEC 27017與ISMS兩個體系結合審核;
?認證模式C:未取得ISMS證書,在CQM只申請ISO/IEC 27017認證,不申請ISMS認證。
? ISO/IEC 27017認證的三種客戶類型:
?云服務提供商:是指提供基于云(提供資源的網絡叫云)的平臺、基礎設施、應用程序或存儲服務的第三方公司。(具備不受限于本地服務器物理約束的可伸縮性和靈活性,含有數個冗余的多個數據中心帶來的可靠性,外加可輕松應對萬變需求的響應的負載均衡)
?云服務客戶:云服務的客戶可以是使用云服務(購買使用了云服務清單中的一種或幾種特定的服務)的一個組織或組織的一部分。其中“特定的服務”是指由一個特定服務所交付的實際服務(如:租用阿里云網絡、租用一年阿里云的存儲設備等)。
?云服務商和云服務客戶兩者:既是云服務提供商又是云服務客戶兩者。
ISO27017認證過程流程圖
ISO27017認證依據和受理條件
1.認證依據:
ISO/IEC 27017:2015 信息技術 安全技術 基于ISO/IEC 27002云服務信息安全控制實施規程